Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. comporg

    comporg Member

    Joined:
    6 May 2013
    Messages:
    535
    Likes Received:
    45
    Reputations:
    2
    Используй < bully > было несколько точек что пин подобрал а вместо пароля ХЕШ или вообще пустое место. А bully все пароли выбил, отличная прога.
     
  2. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    Скорее всего, это лохи, разведенные местным провайдером на брендованные роутеры. Не лишено смысла слить прошивку этого брендованного дерьма, там порой такое лепят, что хоть стой, хоть падай, и hardcoded пин от wps'а - не исключение.
    И касатально этого пина - если можно, лог в студию. Точка ключ либо примет, либо не примет. Иное - дерьмовый сигнал.

    Честно говоря, я дотошно не помню спецификацию этого шедеврального wps и не помню, необходим ли там ssid. Если нужен - вскрывайте, это "poorely shared secret", а потом прямо указывайте в ривере. Не нужен - указывайте только bssid прямо.

    Касательно алгоритма и тайминка лока: это дело десяти строк кода субсубподрядчика-индуса, так что тайминги будут меняться от роутера к роутеру, от прошивки к прошивке.
     
  3. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    Невозможно. Как вариант - это что-то в кодировке, не понимаемой софтом\системой или просто отличной от печатаемых английских ansi. Аутентификация в wpa по хешу невозможна просто так -> wps хеш отдавать не может, не должен и не будет.
     
  4. RomanxD

    RomanxD Member

    Joined:
    11 Jun 2012
    Messages:
    107
    Likes Received:
    79
    Reputations:
    1
    Умеет. Сначала нужно узнать имя точки, пример. В reaver указать имя через опцию, кажись -e <имя точки>. Может ошибаюсь с опцией, смотрите --help reaver'а.
     
  5. PSYDRUGS

    PSYDRUGS Member

    Joined:
    1 Sep 2011
    Messages:
    272
    Likes Received:
    46
    Reputations:
    0
    Так и есть, роутеры как правильно заметили полное дерьмо. Последняя прошивка запакована в zip sfx, бинарник я извлек, но там сплошной машинный код.

    Лог перебора выложу чуть позже, проверял тот пин загрузившись с флэшки с образом Xiaopan OS 0.4.7.2
     
  6. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    Ах, сочувствую. Я сам люблю кастомные стерильные лайв-образы и, было дело, потерял данные при ребуте. Присмотритесь в сторону dm-loop\luks\crpytoloop.

    Пчелайн, стало быть. Почти наверняка, на роутере кто-то из RISC семейства, как следствие - что-то вроде RouterOS. В файле прошивки полный образ системы, возможно в каком-нибудь squashfs или дебиловато зашифрованный статическими ключами. Похожий подход был у buffalo, например.
     
  7. PSYDRUGS

    PSYDRUGS Member

    Joined:
    1 Sep 2011
    Messages:
    272
    Likes Received:
    46
    Reputations:
    0
    Дефолтный PIN для ZyXEL NBG334W EE V3.60(AMW.3) 02/12/2010 и MAC адреса: 40:4A:03:C6:85:74 - 74395675, можно занести в базу, GoyScript-WPS буксовал, вычислил перебором.
     
  8. 4pips

    4pips Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    529
    Likes Received:
    1,421
    Reputations:
    40
    У меня есть один такой в эфире - не подошёл пин, видимо другая прошивка. Тем не менее спасибо за информацию.
    Недавно появилась у меня в эфире новая точка от МГТС с началом 34:6B:D3 - Huawei. Конечно, доступ в интернет через МГТС интересен лишь в крайних случаях и мы тут в основном познающие, а не халявщики. Тем не менее приятно было увидеть, что этот Huawei откликнулся на метод из 16-ой в 10-ую.
     
  9. PSYDRUGS

    PSYDRUGS Member

    Joined:
    1 Sep 2011
    Messages:
    272
    Likes Received:
    46
    Reputations:
    0
    Не исключено что оптика GPON, у меня одни ZTE в округе, для 34:4B:50 подходит PIN 13419622, на DC:02:8E обновленные ZTE возможно с другой прошивкой, WPS заблокирован. А какой PIN подошёл к Huawei?
     
  10. 4pips

    4pips Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    529
    Likes Received:
    1,421
    Reputations:
    40
    Вторую часть мак адреса из 16-ой системы перевести в 10-ую. Так делает goyscript и многие другие "пин-генераторы", т.е. пин не один для всех, а находится по этому алгоритму. Видимо раньше многие производители так делали, но постепенно прекращают, и лишь Zyxel упорно продолжает. Хорошо, если и Huawei поддержит - много их может быть через МГТС.
     
  11. laxe

    laxe New Member

    Joined:
    6 Jun 2013
    Messages:
    63
    Likes Received:
    1
    Reputations:
    0
    обычно у них пароль-номер телефона,можно найти пасс,используя маску 495?d?d?d?d?d?d?d
     
  12. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    В точности такая же ситуация у меня, метод 16 в 10 помог. Huawei HG532e.
     
  13. laxe

    laxe New Member

    Joined:
    6 Jun 2013
    Messages:
    63
    Likes Received:
    1
    Reputations:
    0
    а как можно вручную из 16 в 10 перевести?
     
  14. henri2002

    henri2002 Active Member

    Joined:
    25 Sep 2013
    Messages:
    379
    Likes Received:
    282
    Reputations:
    3
    инжинерным калькулятором , или скриптом , есть на форуме.
     
  15. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Калькулятором перевести вторую часть MAC-адреса (последние 3 байта) из 16-ной в 10-ную систему счисления, взять по модулю 10000000 (обрезать до 7 цифр). Ну и всё... уже было ведь.
     
  16. 4pips

    4pips Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    529
    Likes Received:
    1,421
    Reputations:
    40
    Если ты про МГТС, то мне показало пароль PTKLGXLB - видимо работа какого-то генератора
    Калькулятор в win7 (или еще где). Там выбрать режим Программист (для ввода в HEX), а потом нажать DEC - и получишь результат. Если первая цифра 1-ка и всего девять цифр (высокий адрес), то эту однушку игнорировать, а остальные 8 цифр брать как версию пина.
     
  17. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    No, семь цифр. Восьмая - хеш сумма, генерируемая алгоритмом.
     
  18. 4pips

    4pips Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    529
    Likes Received:
    1,421
    Reputations:
    40
    Да-да, ошибся, 7 цифр, а если 8, то первую однушку игнорируем.
    Сбила меня хорошая шутка:
    Простояв 10 лет около компьютера, кактус начал раздавать wi-fi.
     
    quite gray likes this.
  19. SDF

    SDF New Member

    Joined:
    3 Jul 2009
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    День добрый , у меня такая проблема , работаю на убунту 13.10 поставил пакеты airmon-ng / reaver . Но когда доходу до wash -i в терминале не проихходит не чего /

    sadam@K52JU:~$ sudo wash -i mon0 -C
    [sudo] password for sadam:

    Wash v1.4 WiFi Protected Setup Scan Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <[email protected]>

    BSSID Channel RSSI WPS Version WPS Locked ESSID
    ---------------------------------------------------------------------------------------------------------------
     
  20. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    А зачем ключ -C ?
    Попробуйте
    sudo su
    wash -i mon0 -s 1000

    Я обычно так сканирую. И окно лучше развернуть на полный экран, так wash лучше отображается (если конечно у вас оконный менеджер).